ไมโครซอฟท์ออกรายงานเตือนภัยการใช้งาน เว็บเซิร์ฟเวอร์ Boa ที่หยุดพัฒนาไปตั้งแต่ปี 2005 แต่ยังนิยมใช้กันอย่างแพร่หลายในอุปกรณ์ IoT และกล้องวงจรปิด
Boa เป็นซอฟต์แวร์เว็บเซิร์ฟเวอร์ขนาดเล็กที่เขียนขึ้นในปี 1995 และหยุดพัฒนาในปี 2005 จุดเด่นของมันคือใช้ทรัพยากรน้อย ทำให้เป็นที่นิยมในกลุ่มผู้ผลิตอุปกรณ์ IoT และชุดพัฒนา SDK ต่างๆ (ที่ไมโครซอฟท์ระบุยี่ห้อมี 1 รายคือ Realtek) แต่การที่มันไม่ถูกพัฒนามานานมาก ทำให้แทบไม่มีฟีเจอร์ด้านความปลอดภัยใดๆ แม้กระทั่ง access control หรือการรองรับ SSL
รายงานของไมโครซอฟท์ระบุว่ามีอุปกรณ์ที่รัน Boa มากกว่า 1 พันล้านชิ้น และถูกใช้งานมากในอินเดีย ช่องโหว่ของ Boa ยังเป็นเหตุให้เกิดการโจมตีโครงสร้างพื้นฐานในอินเดีย เช่น ระบบกริดไฟฟ้า
แม้ Realtek ในฐานะผู้ผลิต SDK ออกแพตช์ป้องกันมาแล้ว แต่ผู้ผลิตฮาร์ดแวร์จำนวนมากก็ไม่ได้อัพเดตแพตช์ตามอยู่ดี ไมโครซอฟท์จึงเตือนให้ผู้ดูแลโครงสร้างพื้นฐานไอทีต้องพิจารณาถึงอุปกรณ์ที่อาจรัน Boa อยู่เงียบๆ แต่ไม่รู้ตัวกันมาก่อนด้วย
ที่มา - Microsoft , The Register
Comments
ที่จริงไม่ต้องเตือนก็น่าจะรู้กันดี โดยเฉพาะบริษัทที่ไม่เกี่ยวกับ IT แต่ต้องใช้ software ในอุปกรณ์ (อย่างพวกรถยนต์)software สมัยพระเจ้าเหาทั้งนั้น
พวกนี้ด้วยราคาด้วยการใช้งาน ทำให้ไมค่อยมีการ update ความปลอดภัยกัน ไม่เหมือน PC
ผมเขาใจนะ ผมในมุมคนทำระบบ ผมเคยคุยเรื่อง ระบบไม่ได้แพท ความปลอดภัย พวก lib, server, database ไม่มีคนมา MA ส่วนผมก็ติด งานอื่น คำตอบจากคนที่ตัดสินใจได้ คือ
"มันดีอยู่แล้ว สมบูรณ์อยู่แล้ว ไม่ต้องทำอะไร""ระบบทำเสร็จแล้ว ไม่ต้องแก้อะไรอีก ทำมาไม่ดีหรือปล่าว"
เวลามีบัคตอน releases ไปแล้ว "คุณ ทำงานไม่รอบคอบนิ" (คนที่เทส และบอกให้ releases บอกว่าไม่จำเป็นต้องมี tester เป็นคนกล่าว และก็กล่าวมาจนถึงปัจจุบัน)
คิดว่าหลายๆ ที่ ทั่วโลก ที่ยังใช้ระบบเก่า, OS เก่า, Lib เก่า ที่มีช่องโหว่ ก็น่าจะเหมือนกัน เพราะว่าในมุม ของคนที่ไม่เข้าใจ ทำเสร็จก็คือเสร็จ ไม่ต้องทำอะไรอีก จะแก้ MA ต่อก็ไม่รู้จบ เปลืองทรัพยากร